법제도/정책
“전자금융 신기술 봇물.., 보안관련 법-제도 정비 시급”
디지털데일리
발행일 2010-05-11 00:01:26
- “공인인증서 등 특정 기술적 보안수단 아닌 기준·제도 개선 필요”…국회 전문가 토론회서 지적
[디지털데일리 이유지기자] 스마트폰을 비롯해 앞으로 등장할 신규 플랫폼과 신기술 기반의 다양한 전자금융거래서비스 안전성을 보장하려면 특정 보안수단이 아니라 현행 법·제도 차원의 변화가 필요하다는 전문가 지적이 나왔다.
다양한 거래, 결제 서비스 유형별로 공인인증서 이외에 새로운 방법을 금융기관이 자체적으로 위험을 분석을 통해 자율적으로 선택, 허용토록 할 수 있도록 하는 기준과 제도 개선 방안도 제시됐다.
김을동 의원 주최로 10일 국회 의원회관에서 ‘금융서비스 결제 유형별 안전성 기준 및 검증’을 주제로 열린 3차 연차간담회-안전한 전자금융거래를 위한 정책 토론회에서 주제발표를 맡은 강필용 한국인터넷진흥원 전자인증팀장은 “스마트폰 등 신규 플랫폼의 등장으로 인해 급변하는 사이버 환경에서 전자금융결제 유형별 안전성 기준이 정립돼야 하고, 보안성 검증체계도 개선돼야 한다”고 강조했다.
강 팀장은 “현재 인터넷뱅킹 이외의 증권서비스, 소액결제, 카드거래, P2P 거래 등 다양한 유형의 전자금융거래 서비스에 대한 명확한 안전성, 신뢰성 기준이 부재하고, 신기술 등장에 따른 시의적절한 대응도 어렵다”며, “특정 수단이 아니라 큰 틀에서 이를 보장할 유연한 제도적 기준과 절차, 가이드라인이 필요하다”고 지적했다.
배성훈 국회 입법조사처 입법조사관도 “신규 플랫폼과 신기술 등장으로 금융기관 등에서 어떠한 기준으로 보안기능과 수준을 적용해야 할지 애매모호한 것이 현실이며, 전자금융거래 감독기관도 검증 대상과 방법을 몰라 당황하고 있어 신규 서비스 수용이 뒤처지는 문제가 발생하고 있다”며, 현행 전자금융거래 안전성 제도의 문제점을 언급했다.
이를 해결할 방안으로는 “전자금융거래 서비스 유형과 플랫폼별 위험분석을 통해 금융기관이 적절한 보안통제를 선택할 수 있도록 자율성을 부여하는 대신 책임성을 강화하고, 거래유형별 보안등급을 산정토록 하면 된다”는 것이 KISA의 입장이다.
배 조사관도 “특정 보안수단을 강조하기 보다는 안전한 전자금융거래를 위해 필수적으로 구현돼야 할 보안통제를 중심으로 서비스 유형`위험별 보안강도·등급 지침을 제시하고, 개발자와 이용자가 자율적으로 참조, 구현할 환경을 조성할 수 있는 제도 개선이 필요하다”고 말했다.
김승주 성균관대 교수는 “공인인증서의 보안수준은 OTP(일회용비밀번호) 등 현재 다른 기술수단이 따라갈 수 없다는 점은 사실이지만 사용자들에게 여러 보안기술에 대한 자율선택권도 줘야 한다”고 전제하고, “그러나 아무거나 쓰게 해서는 안되고 서비스 유형별 보안수준 높낮이에 따라 여러 선택권을 줘야 한다”고 강조했다.
이를 위해선 금융기관 등이 선택, 제공할 전자금융거래서비스별 신규 보안수단의 안전성 검증을 위한 새로운 보안성 심의 제도 기반을 마련해야 한다는 것이 시급한 과제라는 것이 전문가 지적이다.
강 팀장은 “현재 금융기관, 전자금융서비스업체에 전자금융거래서비스별로 적용할 기술적 보안조치에 대한 자율성을 부여하려 해도 보안성 심의에 대한 전문성이 미흡한 상황”이라며, “새로운 플랫폼과 기술의 안전성과 신뢰성 검증 방안도 마련해야 한다”고 덧붙여, 보안성 심의제도 개선 필요성을 강조했다.
김 교수도 “선택권을 부여하는 데 있어 어떤 기술이 얼마만큼 안전한지를 누가 심사, 평가할 지가 문제”라고 지적하며, “새로운 기술 이슈가 생길 때마다 심사·평가기준을 만들 필요 없이 현재 ISO 국제표준인 국제공통평가기준(CC)을 준용하고, 이를 수행하고 있는 5개 평가기관을 활용하면 된다”는 방안을 제시했다.
배 조사관 역시 “신청기관이 사전에 공인된 평가·인증기관으로부터 안전성을 검증한 결과 등을 첨부해 자체 위험분석보고서 등을 제출토록 함으로써 다양한 신규 플랫폼 및 기술에 관해 전문가에 의한 타당성 여부를 판단토록 하는 것이 바람직하다”고 덧붙였다.
이러한 의견에 관해 장영환 행정안전부 정보보호정책과장은 “여러 금융기관이나 다수가 하나의 통일된 결제수단을 쓸 때에는 검증된 공인인증서를 사용할 필요가 있지만 기술이 발달되고 스마트폰, 소액결제 등 전자거래서비스도 다양해지면서 다양한 보안 방법을 고민해야 한다는 점은 맞다”며, “그에 적합한 여러 방안을 고민하겠다”고 밝혔다.
한편, 이날 토론회에서는 전자금융거래 안전성 강화 수단으로 사용돼온 공인인증서 의무화 논란이 기술적 논쟁으로 계속 치달을 것이 아니라 기술 변화 흐름을 능동적으로 수용해 사용자 편의성을 높일 수 있는 법·제도적 개선 논의가 필요하다는 점도 강조됐다.
홍진배 방송통신위원회 과장은 “지난 당정 협의를 통해 규제를 완화한 만큼 이제는 공인인증서를 써야 하는지, OTP를 써야할 지가 논의의 초점은 아니다”며, “새로운 플랫폼이 나와 공인인증서가 구현되지 않을 경우나 사용자들이 공인인증서를 사용하지 않고자 할 때 어떠한 선택방안을 제시하고 활용할 지가 논의의 초점이 돼야 한다”고 말했다.
성기윤 비씨카드 지불결제연구소 차장도 “최근 신기술 등장으로 인해 금융사는 보안사고 발생으로 가해지는 평판위험 이외에 앞선 서비스를 제공하지 못하는 데 따른 새로운 평판위험이 대두되고 있다”면서, “이를 해결하기 위해선 법·제도, 기술 등 전반적으로 체제를 정비할 필요가 있다”고 강조했다.
추봉구 KT 기술전략실 부장도 “신기술을 빨리 쓰고 싶은 고객의 욕구를 충족하면서도 편의성 높은 서비스를 제공하기 위해선 과거의 획일적 기준보다는 유연한 자세로 제도 보완이 필요하다”고 말하고, “유연하고도 전향적 자세로 지혜를 모으면 현재의 문제를 충분히 해결할 수 있을 것”이라고 전망했다.
한편, 이날 사회를 맡은 임종인 고려대 교수는 “전자금융거래 안전성과 관련해 공인인증서 사용 등 기술적 논쟁은 이미 끝났다”고 선언하고, “이제는 글로벌 수준에 맞게 법제도를 개선해 사용자 편의성을 높이면서도 안전성을 강화할 수 있도록 심도있는 논의와 검토가 필요하다”고 강조해 말했다.
<이유지 기자>yjlee@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지